Persónuverndarlög á Íslandi: GDPR í gegnum EES-samninginn, lög nr. 90/2018 og Persónuvernd (leiðarvísir 2026)

Ísland innleiðir GDPR-reglugerðina að fullu í gegnum ákvörðun sameiginlegu EES-nefndarinnar nr. 154/2018 og lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi 15. júlí 2018. Persónuvernd framfylgir lögunum og getur beitt sektum sem nema allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu. 71. gr. stjórnarskrár lýðveldisins Íslands myndar stjórnarskrárbundinn grundvöll friðhelgi einkalífs.
Stutt svar: Persónuvernd á Íslandi í hnotskurn
Ísland innleiðir GDPR-reglugerðina að fullu í gegnum aðild sína að EES, með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga til fyllingar. Persónuvernd, hið sjálfstæða innlenda eftirlitsstjórnvald, afgreiðir þúsundir mála árlega og getur beitt sektum sem nema allt að 4% af heildarveltu á heimsvísu eða 2,4 milljörðum króna. 71. gr. stjórnarskrár lýðveldisins Íslands verndar rétt til friðhelgi einkalífs og myndar stjórnarskrárbundinn grundvöll persónuverndarlöggjafarinnar. Fyrir fyrirtæki starfar Ísland í reynd eins og aðildarríki ESB þegar kemur að persónuvernd: sömu reglur, sömu réttindi og sömu viðurlög gilda.
Þessi grein fjallar um lagarammann, valdheimildir Persónuverndar og nýlega framkvæmd eftirlits, réttindi hins skráða, tilkynningu um öryggisbresti, kröfur um persónuverndarfulltrúa, reglur um flutning gagna milli landa, yfirstandandi upptöku gervigreindarreglugerðar ESB í EES-samninginn og atriði sem fyrirtæki þurfa að hafa í huga við vinnslu persónuupplýsinga íslenskra einstaklinga.
Stjórnarskrárbundinn og lagalegur grundvöllur
71. gr. stjórnarskrár Íslands
Í 71. gr. stjórnarskrár lýðveldisins Íslands segir að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu. Ákvæðið tekur sérstaklega til rannsóknar á skjölum og póstsendingum, símtölum og sambærilegrar íhlutunar í einkalíf manna. Takmarkanir eru því aðeins heimilar að brýna nauðsyn beri til vegna réttinda annarra, og rannsókn á fjarskiptum krefst annað hvort dómsúrskurðar eða sérstakrar lagaheimildar.
Þessi stjórnarskrárvarða trygging er eldri en GDPR-reglugerðin og myndar þann grundvöll mannréttinda í landsrétti sem persónuverndarlöggjöfin byggir á. Rétturinn til friðhelgi einkalífs samkvæmt 71. gr. er ekki fortakslaus, en öll íhlutun með lögum verður að uppfylla kröfur um meðalhóf.
Hvernig GDPR gildir á Íslandi í gegnum EES-samninginn
Ísland er ekki aðildarríki að ESB. Það er hins vegar aðili að Evrópska efnahagssvæðinu samkvæmt EES-samningnum frá 1994. EES-samningurinn nær innri markaði ESB til þriggja EFTA-ríkja: Íslands, Liechtenstein og Noregs. Löggjöf ESB sem hefur þýðingu fyrir EES gildir ekki sjálfkrafa í EFTA-ríkjum EES, heldur þarf fyrst að taka hana upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar.
Hvað varðar GDPR-reglugerðina (reglugerð (ESB) 2016/679) samþykkti sameiginlega EES-nefndin ákvörðun nr. 154/2018 þann 6. júlí 2018. Ákvörðunin breytti XI. viðauka EES-samningsins þannig að GDPR-reglugerðin var tekin upp, og felldi um leið úr gildi tilvísanir til eldri persónuverndartilskipunarinnar (95/46/EB). GDPR-reglugerðin tók gildi á Íslandi, í Liechtenstein og í Noregi þann 20. júlí 2018.
Upptakan fól í sér sérstakar aðlaganir fyrir EES. Tilvísanir til "aðildarríkis" í GDPR-reglugerðinni ber að skilja sem tilvísanir til viðkomandi EFTA-ríkis EES að því er varðar beitingu reglugerðarinnar innan EES. Innlend eftirlitsstjórnvöld EFTA-ríkja EES eiga fulla aðild að evrópska persónuverndarráðinu (EDPB) í málum sem varða EFTA-ríki EES, en sitja sem áheyrnarfulltrúar í málum sem varða eingöngu innri málefni ESB.
Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga
Alþingi samþykkti lög nr. 90/2018 þann 27. júní 2018. Lögin tóku gildi 15. júlí 2018 og leystu af hólmi lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Lög nr. 90/2018 gegna tveimur ólíkum hlutverkum. Í fyrsta lagi innleiða þau GDPR-reglugerðina formlega í landsrétt eins og EES-samningurinn krefst, enda gildir GDPR-reglugerðin ekki sem bindandi landsréttur á Íslandi án sérstakra innleiðingarlaga. Í öðru lagi nýta lögin þær undanþágur og sérreglur sem GDPR-reglugerðin heimilar aðildarríkjum að setja, þar á meðal um stofnun og valdheimildir eftirlitsstjórnvalds, stafrænan samþykkisaldur, undanþágur vegna vinnslu í þágu almannahagsmuna og refsiábyrgð fyrir ásetningsbrot.
Lögin gilda um sjálfvirka vinnslu og handvirka vinnslu þar sem gögn eru hluti af skráningarkerfi. Þau taka bæði til opinbera geirans og einkageirans. Sérstök ákvæði laganna fjalla um vinnslu vegna löggæslu, sem innleiða tilskipun ESB um löggæslu (2016/680/ESB).
Helstu ákvæði laga nr. 90/2018
Lagagrundvöllur vinnslu
Lög nr. 90/2018 endurspegla þær sex heimildir til vinnslu sem fram koma í 6. gr. GDPR-reglugerðarinnar: samþykki, efndir samnings, lagaskyldu, brýna hagsmuni, opinbert verkefni og lögmæta hagsmuni. Lögin setja sumar heimildanna í innlent samhengi, einkum vinnslu á vegum stjórnvalda. Sú hefð á Íslandi að almenningur eigi rétt á aðgangi að upplýsingum stjórnvalda samkvæmt upplýsingalögum nr. 140/2012 skapar ákveðna togstreitu við persónuvernd sem Persónuvernd hefur brugðist við með útgefnum leiðbeiningum.
Um viðkvæmar persónuupplýsingar gilda skilyrði 9. gr. GDPR-reglugerðarinnar. Þar er meðal annars átt við heilsufarsupplýsingar, erfðafræðilegar og lífkennaupplýsingar, upplýsingar um kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarskoðanir, aðild að stéttarfélögum og upplýsingar um refsiverða háttsemi. Íslenska heilbrigðiskerfið og umfangsmiklir lífsýnabankar gera þessar reglur sérstaklega mikilvægar í íslensku samhengi.
Stafrænn samþykkisaldur: 13 ár
- gr. GDPR-reglugerðarinnar heimilar EES-ríkjum að ákveða stafrænan samþykkisaldur á bilinu 13 til 16 ára. Ísland valdi 13 ára aldursmark, sem er lægsta heimilaða viðmiðið. Samkvæmt 5. mgr. 10. gr. laga nr. 90/2018 geta börn 13 ára og eldri veitt gilt samþykki fyrir þjónustu upplýsingasamfélagsins. Fyrir börn yngri en 13 ára þarf foreldri eða forsjáraðili að veita eða heimila samþykkið. Ísland setti þetta viðmið meðal annars með hliðsjón af mikilli stafrænni læsni og tækjanotkun ungmenna.
Persónuupplýsingar barna: norrænt samstarf
Í maí 2024 komu norrænu persónuverndarstofnanirnar saman í Osló og samþykktu sameiginlegar meginreglur um börn og tölvuleiki á neti. Persónuvernd tók þátt ásamt persónuverndarstofnunum Danmerkur, Færeyja, Finnlands, Noregs, Svíþjóðar og Álandseyja. Sameiginlegu meginreglurnar fjalla um lögmæti vinnslu, verndarráðstafanir í hönnun tölvuleikja og samþykki foreldra í leikjaumhverfi, sem endurspeglar virka þátttöku Íslands í svæðisbundnu eftirlitssamstarfi umfram formlega áheyrnaraðild að EDPB.
Erfðaupplýsingar og lífsýnasöfn
Ísland hefur alþjóðlega mikilvægan lagaramma um erfðafræðirannsóknir. Lög nr. 110/2000 um lífsýnasöfn gilda um söfnun og notkun lífsýna og tengdra upplýsinga. Þessi lög verka saman við lög nr. 90/2018 og setja frekari skilyrði fyrir vinnslu erfðaupplýsinga. Vegna fámennis þjóðarinnar og umfangsmikilla erfðafræðigagnagrunna fylgir erfðaupplýsingum sérstök hætta á að hægt sé að bera kennsl á einstaklinga að nýju. Persónuvernd hefur gefið út leiðbeiningar um dulkóðun og nafnleynd í rannsóknum og bent á að einsleitni þjóðarinnar geri raunverulega nafnleynd erfiðari en í fjölmennari og fjölbreyttari löndum.
Rafræn fjarskipti og vefkökur
Fjarskiptalög nr. 70/2022 tóku gildi 1. september 2022 og innleiða tilskipun (ESB) 2018/1972 (evrópsku fjarskiptareglurnar). Samkvæmt lögunum er vinnsla rafrænna fjarskiptagagna, þar með talið geymsla, hlustun, upptaka eða hlerun, óheimil nema notandinn veiti upplýst samþykki eða lög heimili hana sérstaklega.
Vefkökur falla að mati íslenskra stjórnvalda undir skilgreiningu fjarskiptalaga á endabúnaði. Samþykki er áskilið fyrir öllum vefkökum sem ekki eru nauðsynlegar. Þegar notkun vefkaka felur í sér vinnslu IP-talna eða annarra persónuupplýsinga gilda lög nr. 90/2018 og GDPR-reglugerðin samhliða. Lögmætir hagsmunir geta ekki verið lagagrundvöllur fyrir samþykki fyrir vefkökum samkvæmt þessum reglum.
Rafræn vöktun og eftirlit á vinnustöðum
Reglur nr. 50/2023 um rafræna vöktun, sem Persónuvernd setti samkvæmt 5. mgr. 14. gr. laga nr. 90/2018, gilda um eftirlitsmyndavélar, GPS-staðsetningarbúnað, fjarvöktunarbúnað og sambærilega tækni á opinberum svæðum, vinnustöðum og í skólum.
Meðal krafna í reglum nr. 50/2023 eru:
- Gagnsæi: atvinnurekendum ber að upplýsa starfsfólk um alla vöktun, tilgang hennar, hverjir hafa aðgang að gögnunum og hversu lengi þeim er haldið, áður en vöktun hefst.
- Leynileg vöktun er óheimil á vinnustöðum nema hún styðjist við lagaheimild eða dómsúrskurð.
- Varðveisla gagna: eyða skal upptökum eftir 30 daga nema tiltekin og skjalfest ástæða réttlæti lengri varðveislu.
- Samþykki starfsmanns telst almennt ekki gildur lagagrundvöllur fyrir vöktun á vinnustað, þar sem valdaójafnvægið milli atvinnurekanda og starfsmanns veldur því að slíkt samþykki telst yfirleitt ekki veitt af fúsum og frjálsum vilja.
Persónuvernd: eftirlitsstjórnvald Íslands í persónuverndarmálum
Skipulag og sjálfstæði
Persónuvernd (bókstaflega "vernd persónu") er sjálfstætt eftirlitsstjórnvald Íslands í persónuverndarmálum, stofnað með lögum nr. 90/2018. Höfuðstöðvar stofnunarinnar eru að Laugarvegur 166, 105 Reykjavík. Stofnuninni stýrir þriggja manna stjórn sem dómsmálaráðherra skipar til tímabundinna kjörtímabila sem heimilt er að endurnýja. Stjórnin starfar sjálfstætt og stjórnvöld mega ekki gefa Persónuvernd fyrirmæli í einstökum málum.
Persónuvernd á áheyrnaraðild að evrópska persónuverndarráðinu (EDPB) í málum sem varða eingöngu innri málefni ESB, en fulla aðild í málum sem varða Ísland, Liechtenstein eða Noreg. Stofnunin á samstarf við önnur eftirlitsstjórnvöld á EES-svæðinu í gegnum samræmingarferli EDPB og gagnkvæma aðstoð.
Rannsóknar- og úrræðaheimildir
Persónuvernd fer með allar þær valdheimildir sem fram koma í 57. og 58. gr. GDPR-reglugerðarinnar. Þar á meðal eru:
- Að framkvæma úttektir og rannsóknir, hvort sem þær eru tilkomnar vegna kvörtunar eða að frumkvæði stofnunarinnar sjálfrar.
- Að fá aðgang að starfsstöðvum og krefja ábyrgðaraðila og vinnsluaðila um upplýsingar.
- Að gefa út viðvaranir, áminningar og fyrirmæli um að verða við óskum hins skráða.
- Að setja tímabundið eða varanlegt bann við vinnslu.
- Að fyrirskipa stöðvun á flutningi gagna milli landa.
- Að leggja á stjórnvaldssektir.
- Að veita álit við fyrirframsamráð um mat á áhrifum á persónuvernd.
Stofnunin sinnir jafnframt ráðgjafarhlutverki, veitir umsagnir um lagafrumvörp og gefur út leiðbeiningar um hátternisreglur.
Málafjöldi 2024 og norrænt samstarf
Í ársskýrslu Persónuverndar fyrir árið 2024 kemur fram að stofnunin lauk afgreiðslu 1.924 mála, sem er umtalsverður fjöldi fyrir eftirlitsstjórnvald sem þjónar um 380.000 manna þjóð. Stofnunin lagði áherslu á aukið samstarf við norrænar persónuverndarstofnanir um meðferð kvartana, persónuvernd barna og samræmda framkvæmd stjórnvaldssekta á Norðurlöndunum. Þetta svæðisbundna samstarf endurspeglar markvissa stefnu um að samræma áherslur í eftirliti og draga úr misræmi milli norrænu EES-ríkjanna.
Viðurlög og framkvæmd eftirlits
Fyrirkomulag stjórnvaldssekta
Lög nr. 90/2018 mæla fyrir um tveggja þrepa fyrirkomulag sekta í samræmi við 83. gr. GDPR-reglugerðarinnar:
Lægra þrep (brot samkvæmt 4. mgr. 83. gr.): Sektir frá 100.000 krónum upp í 1,2 milljarða króna, eða allt að 2% af árlegri heildarveltu á heimsvísu, hvort sem hærra reynist. Þetta þrep tekur til brota á skyldum ábyrgðaraðila og vinnsluaðila, þar á meðal öryggiskröfum, vanrækslu á tilkynningu öryggisbresta, því að skipa ekki persónuverndarfulltrúa og brota á skráningarskyldu.
Hærra þrep (brot samkvæmt 5. mgr. 83. gr.): Sektir frá 100.000 krónum upp í 2,4 milljarða króna (um 15,85 milljónir evra), eða allt að 4% af árlegri heildarveltu á heimsvísu, hvort sem hærra reynist. Þetta þrep tekur til brota á grunnreglum vinnslu, réttindum hins skráða, takmörkunum á flutningi gagna og vinnslu án gilds lagagrundvallar.
Dagsektir: Persónuvernd getur lagt á dagsektir allt að 200.000 krónum (um 1.320 evrum) á dag til að knýja fram fylgni við fyrirmæli sín.
Refsiviðurlög: Lög nr. 90/2018 mæla fyrir um refsiviðurlög vegna alvarlegustu brotanna. Ásetningsbrot í formi ólögmætrar vinnslu og ásetningsbundin hindrun á rannsóknum Persónuverndar varða sektum og allt að þriggja ára fangelsi. Brot persónuverndarfulltrúa á þagnarskyldu varða sektum eða allt að þriggja ára fangelsi.
Nokkur dæmi um framkvæmd eftirlits
2025: Heilsugæsla höfuðborgarsvæðisins (5.000.000 kr.)
Árið 2025 sektaði Persónuvernd Heilsugæslu höfuðborgarsvæðisins, sem rekur 15 heilsugæslustöðvar á höfuðborgarsvæðinu, um 5.000.000 króna (um 33.854 evrur). Stofnunin komst að því að ábyrgðaraðilinn hefði gert samninga um miðlun sjúkraskráa við ellefu aðila, þar á meðal Knattspyrnusamband Íslands og Samgöngustofu, án þess að afla tilskilinnar heimildar ráðuneytis og öryggisstaðfestingar Persónuverndar samkvæmt 2. mgr. 20. gr. laga nr. 55/2009 um sjúkraskrár. Sameiginlega kerfið veitti aðgang að sjúkraskrám um 450.000 einstaklinga. Persónuvernd taldi brotið gegn a-lið 1. mgr. 5. gr., 1. mgr. 6. gr. og 1. mgr. 9. gr. GDPR-reglugerðarinnar og benti á að skyldan væri skýrt kveðin á um í lögum og að heilsufarsupplýsingar, sem viðkvæmur flokkur upplýsinga, réttlættu þyngri viðurlög.
2023: Embætti landlæknis / Heilsuvera (12.000.000 kr.)
Í júlí 2023 sektaði Persónuvernd embætti landlæknis um 12.000.000 króna (um 82.000 evrur) í kjölfar öryggisbrests hjá Heilsuveru, netgátt Íslands fyrir heilbrigðisþjónustu og lyfseðla. Öryggisveikleiki gerði kleift að fá ólögmætan aðgang að sjúklingaupplýsingum. Stofnunin taldi brotið gegn f-lið 1. mgr. 5. gr. og 32. gr. GDPR-reglugerðarinnar og komst að þeirri niðurstöðu að hvorki hefðu verið innleiddar fullnægjandi tæknilegar og skipulagslegar ráðstafanir né uppfylltar kröfur um innbyggða og sjálfgefna persónuvernd.
2024: Google Workspace for Education (fleiri sveitarfélög)
Í kjölfar samræmdrar eftirlitsaðgerðar EDPB árið 2022 um skýjaþjónustunotkun í opinberum rekstri rannsakaði Persónuvernd notkun á Google Workspace for Education hjá fimm fjölmennustu sveitarfélögum Íslands. Árið 2024 voru lagðar sektir á fleiri sveitarfélög fyrir að láta vinna upplýsingar um nemendur í eigin þágu Google umfram tilgreindan menntunartilgang. Reykjavíkurborg var sektuð um 2.000.000 króna (um 13.270 evrur), Kópavogsbær um sem samsvarar 19.907 evrum, Hafnarfjarðarkaupstaður um sem samsvarar 18.580 evrum, Reykjanesbær um sem samsvarar 16.590 evrum og Garðabær um sem samsvarar 16.590 evrum. Þessar ákvarðanir sýna þá regluvörsluáhættu sem fylgir því að nota viðskiptalega skýjaþjónustuveitendur til að vinna persónuupplýsingar barna í opinberum rekstri án fullnægjandi samningsbundinna takmarkana á frekari vinnslu.
2022: Reykjavíkurborg / Seesaw kennslukerfið (5.000.000 kr.)
Í maí 2022 sektaði Persónuvernd Reykjavíkurborg um 5.000.000 króna (um 35.840 evrur) fyrir brot á GDPR-reglugerðinni í tengslum við kennslukerfið Seesaw. Persónuupplýsingar barna höfðu verið unnar án lagagrundvallar og sveitarfélagið hafði ekki uppfyllt skyldur sínar sem ábyrgðaraðili, meðal annars með því að tryggja fullnægjandi vinnslusamninga.
2020: National Center of Addiction Medicine (3.000.000 kr.)
Í mars 2020 sektaði Persónuvernd National Center of Addiction Medicine um 3.000.000 króna (um 20.643 evrur) eftir að fyrrverandi starfsmaður fékk afhentar öskjur sem innihéldu sjúkraskrár 252 fyrrverandi sjúklinga og nöfn um 3.000 einstaklinga sem höfðu sótt áfengismeðferð. Stofnunin taldi ágalla á persónuverndarstefnu og öryggisráðstöfunum samkvæmt f-lið 1. mgr. 5. gr. og 32. gr. GDPR-reglugerðarinnar.
Réttindi hins skráða
Einstaklingar á Íslandi njóta allra réttinda hins skráða samkvæmt III. kafla GDPR-reglugerðarinnar, sem unnt er að framfylgja með kvörtun til Persónuverndar eða málshöfðun fyrir íslenskum dómstólum.
Réttur til aðgangs (15. gr.): Hinn skráði getur óskað eftir staðfestingu á því hvort persónuupplýsingar um hann séu unnar, afriti af upplýsingunum og upplýsingum um tilgang vinnslu, viðtakendur, varðveislutíma og heimildir gagnanna. Ábyrgðaraðila ber að svara innan eins mánaðar, en fresturinn má framlengja um tvo mánuði til viðbótar ef beiðnin er flókin.
Réttur til leiðréttingar (16. gr.): Leiðrétta skal rangar upplýsingar án ótilhlýðilegrar tafar. Hinn skráði getur einnig bætt við upplýsingar sem eru ófullkomnar.
Réttur til að láta eyða upplýsingum (17. gr.): Hinn skráði getur óskað eftir eyðingu upplýsinga þegar þeirra er ekki lengur þörf í upprunalegum tilgangi, þegar samþykki er afturkallað eða þegar vinnslan hefur verið ólögmæt. Heimilt er að hafna eyðingu ef varðveisla er nauðsynleg til að uppfylla lagaskyldu, vegna vörslu í þágu almannahagsmuna, vísindarannsókna eða til að staðfesta, hafa uppi eða verja réttarkröfur.
Réttur til takmörkunar á vinnslu (18. gr.): Heimilt er að takmarka vinnslu á meðan deilt er um réttmæti upplýsinga, á meðan ábyrgðaraðili metur hvort lögmætar ástæður vegi þyngra en andmæli, eða þegar hinn skráði þarf á upplýsingunum að halda vegna réttarkrafna í stað þess að láta eyða þeim.
Réttur til flytjanleika gagna (20. gr.): Þegar vinnsla byggist á samþykki eða samningi og er sjálfvirk, getur hinn skráði fengið upplýsingar sínar afhentar á skipulögðu, algengu og tölvulesanlegu sniði og flutt þær beint til annars ábyrgðaraðila.
Réttur til andmæla (21. gr.): Hinn skráði á fortakslausan rétt til að andmæla vinnslu í þágu beinnar markaðssetningar. Þegar vinnsla byggist á almannahagsmunum eða lögmætum hagsmunum getur hann andmælt henni og ber ábyrgðaraðila þá að hætta vinnslunni nema hann sýni fram á brýnar lögmætar ástæður sem vegi þyngra. Sterk hefð á Íslandi fyrir aðgangi almennings að upplýsingum veldur því að opinberir ábyrgðaraðilar fá reglulega andmæli frá einstaklingum sem upplýsingar um birtast í stjórnsýslugögnum.
Réttindi varðandi sjálfvirkar ákvarðanir (22. gr.): Ekki má taka ákvörðun um einstakling eingöngu á grundvelli sjálfvirkrar vinnslu ef ákvörðunin hefur veruleg réttaráhrif eða sambærileg áhrif á hann, nema ákvörðunin sé nauðsynleg vegna samnings, heimiluð með lögum sem tryggja fullnægjandi verndarráðstafanir, eða byggist á ótvíræðu samþykki. Þegar slíkar ákvarðanir eru teknar á einstaklingurinn rétt á að fá mannlega endurskoðun, tjá sjónarmið sín og andmæla niðurstöðunni.
Kröfur um tilkynningu öryggisbresta
Tilkynning til Persónuverndar
Verði öryggisbrestur við meðferð persónuupplýsinga ber ábyrgðaraðila að tilkynna hann til Persónuverndar án ótilhlýðilegrar tafar og, ef unnt er, eigi síðar en 72 klukkustundum eftir að hann varð brestsins var. Dragist tilkynning fram yfir 72 klukkustundir ber ábyrgðaraðila að skýra og skjalfesta ástæður tafarinnar.
Tilkynningarskylda á ekki við ef ólíklegt er að öryggisbresturinn hafi í för með sér áhættu fyrir réttindi og frelsi einstaklinga. Þessi undanþága er þröng, og Persónuvernd gerir ráð fyrir að ábyrgðaraðilar skrái áhættumat sitt í innri skrá um öryggisbresti sem krafist er samkvæmt 5. mgr. 33. gr. GDPR-reglugerðarinnar, óháð því hvort formleg tilkynningarskylda virkjast.
Tilkynningin skal tilgreina þá flokka og áætlaðan fjölda einstaklinga sem verða fyrir áhrifum, áætlaðan fjölda skráninga sem um ræðir, nafn og tengiliðaupplýsingar persónuverndarfulltrúa eða annars tengiliðar, líklegar afleiðingar öryggisbrestsins og þær ráðstafanir sem gripið hefur verið til eða fyrirhugaðar eru til að draga úr tjóni.
Tilkynning til þeirra sem verða fyrir áhrifum
Ef líklegt er að öryggisbrestur hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga ber ábyrgðaraðila að tilkynna hann beint til þeirra sem verða fyrir áhrifum, án ótilhlýðilegrar tafar. Vísbendingar um mikla áhættu eru meðal annars að heilsufarsupplýsingar eða fjárhagsupplýsingar verði aðgengilegar, eða upplýsingar sem gera kleift að fremja auðkennisþjófnað, svik eða valda líkamlegu tjóni.
Skyldur vinnsluaðila
Vinnsluaðilum ber að tilkynna ábyrgum ábyrgðaraðila tafarlaust um öryggisbrest um leið og hann verður hans var. 72 klukkustunda fresturinn til að tilkynna Persónuvernd hefst um leið og ábyrgðaraðili verður brestsins var. Í samningum milli ábyrgðaraðila og vinnsluaðila skal kveðið á um verklag við tilkynningu öryggisbresta og hvernig málum er vísað áfram.
Kröfur um persónuverndarfulltrúa
Lög nr. 90/2018 innleiða kröfur 37. gr. GDPR-reglugerðarinnar um persónuverndarfulltrúa án verulegra viðbóta í landsrétti. Skylt er að skipa persónuverndarfulltrúa við þrenns konar aðstæður:
- Ábyrgðaraðilinn eða vinnsluaðilinn er stjórnvald eða opinber aðili (þó ekki dómstólar þegar þeir fara með dómsvald).
- Meginstarfsemi ábyrgðaraðilans eða vinnsluaðilans felur í sér vinnslu sem krefst reglulegrar og kerfisbundinnar vöktunar á hinum skráðu í umfangsmiklum mæli.
- Meginstarfsemin felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga eða upplýsinga um refsiverða háttsemi og sakfellingar.
Ísland útvíkkaði ekki skylduna um persónuverndarfulltrúa umfram þessa flokka 37. gr. GDPR-reglugerðarinnar, þótt Persónuvernd hvetji fyrirtæki með umfangsmikla vinnslu til að skipa fulltrúa af fúsum og frjálsum vilja.
Kröfur til persónuverndarfulltrúa eru meðal annars:
- Skipun byggist á fagmennsku og sérfræðiþekkingu á persónuverndarlöggjöf og framkvæmd hennar.
- Fullnægjandi úrræði, aðgangur að gögnum og aðgangur að vinnsluferlum sem nauðsynleg eru til að sinna verkefnum.
- Beinn boðleið til æðstu stjórnenda.
- Rekstrarlegt sjálfstæði, engin fyrirmæli við framkvæmd starfa persónuverndarfulltrúans.
- Þagnarskylda samkvæmt stjórnsýslulögum nr. 37/1993 gildir um persónuverndarfulltrúa.
- Engin hagsmunaárekstur má vera fyrir hendi. Persónuverndarfulltrúi má ekki gegna öðrum stöðum innan fyrirtækisins sem stangast á við ábyrgð hans í persónuverndarmálum.
Persónuverndarfulltrúi getur verið starfsmaður eða utanaðkomandi verktaki. Tengiliðaupplýsingar hans skulu birtar opinberlega og tilkynntar til Persónuverndar.
Flutningur gagna milli landa
Frjálst flæði innan EES
Sem aðili að EES tilheyrir Ísland innri markaði ESB og EES fyrir persónuupplýsingar. Gögn geta streymt milli Íslands og allra 27 aðildarríkja ESB, sem og milli Íslands og Noregs og Liechtenstein, án nokkurra sérstakra flutningsúrræða samkvæmt V. kafla GDPR-reglugerðarinnar. Þetta er mikilvægur ávinningur í reynd fyrir alþjóðleg fyrirtæki: vinnsla á upplýsingum um íslenska einstaklinga í Þýskalandi, Hollandi eða á Írlandi sætir engum takmörkunum samkvæmt V. kafla.
Flutningur utan EES
Flutningur til landa utan EES krefst eins af þeim úrræðum sem fram koma í V. kafla GDPR-reglugerðarinnar:
- Ákvarðanir um fullnægjandi vernd: Ísland viðurkennir sömu ákvarðanir um fullnægjandi vernd og aðildarríki ESB, sbr. 16. gr. laga nr. 90/2018 og auglýsingu nr. 1155/2022. Meðal landa sem njóta slíkrar ákvörðunar eru Japan, Suður-Kórea, Bretland, Kanada (fyrirtæki sem falla undir PIPEDA), Argentína, Ísrael, Sviss, Nýja-Sjáland og lönd sem falla undir gagnaverndarramma ESB og Bandaríkjanna (EU-U.S. Data Privacy Framework).
- Stöðluð samningsákvæði: Stöðluð samningsákvæði framkvæmdastjórnar Evrópusambandsins frá 2021 eru algengasta úrræðið fyrir flutning til landa sem ekki njóta ákvörðunar um fullnægjandi vernd.
- Bindandi fyrirtækjareglur: Í boði fyrir flutning innan fyrirtækjasamstæðu, en þurfa samþykki þar til bærs eftirlitsstjórnvalds.
- Undanþágur samkvæmt 49. gr.: Í boði fyrir flutning á grundvelli ótvíræðs samþykkis, efnda samnings, mikilvægra almannahagsmuna, réttarkrafna, brýnna hagsmuna eða upplýsinga úr opinberum skrám, að uppfylltum tilteknum skilyrðum.
Hagnýt atriði fyrir smærri lögsagnarumdæmi
Margar þjónustur sem notaðar eru daglega á Íslandi eru veittar af alþjóðlegum fyrirtækjum með höfuðstöðvar utan EES. Persónuvernd hefur gefið út leiðbeiningar um alþjóðlega skýjaþjónustu og samfélagsmiðla og lagt áherslu á að ábyrgðaraðilar beri áfram ábyrgð á að uppfylla GDPR-reglugerðina jafnvel þótt þeir noti vinnsluaðila sem staðsettir eru utan EES. Ábyrgðaraðilar geta ekki samið sig undan skyldum sínum samkvæmt V. kafla.
Gervigreindarreglugerð ESB og Ísland
Gervigreindarreglugerð ESB (reglugerð (ESB) 2024/1689) tók gildi 1. ágúst 2024. Fyrir aðildarríki ESB kemur reglugerðin til framkvæmda í áföngum: bann við tilteknum gervigreindaraðferðum varð framfylgjanlegt frá 2. febrúar 2025, reglur um almenn gervigreindarlíkön frá 2. ágúst 2025 og flest önnur ákvæði frá 2. ágúst 2026.
Fyrir Ísland er staðan önnur. Sem EFTA-ríki innan EES er Ísland ekki sjálfkrafa bundið af nýjum reglugerðum ESB. Sameiginlega EES-nefndin þarf að samþykkja ákvörðun um að taka gervigreindarreglugerðina upp í EES-samninginn, á sama hátt og gert var með GDPR-reglugerðina árið 2018. Um mitt ár 2026 hafði engin slík ákvörðun verið samþykkt. Ísland, Noregur og Liechtenstein eiga áheyrnaraðild að fundum gervigreindarráðs ESB og taka þátt í upptökuferlinu, en formleg ákvörðun EES var enn ófrágengin.
Í reynd þýðir þetta að gervigreindarreglugerð ESB gilti ekki sem bindandi landsréttur á Íslandi um mitt ár 2026. Íslensk fyrirtæki sem setja gervigreindarkerfi á markað innan ESB, eða beita gervigreindarkerfum sem hafa áhrif á einstaklinga í aðildarríkjum ESB, falla þó áfram undir gervigreindarreglugerðina vegna þeirrar starfsemi sem tengist ESB, óháð því hvar veitandinn er staðsettur.
Persónuvernd hefur bent opinberlega á að áhættusöm gervigreindarkerfi sem fela í sér lífkennagreiningu, vöktun á vinnustöðum og sjálfvirka ákvarðanatöku með veruleg áhrif á einstaklinga muni að öllum líkindum falla bæði undir gildandi skyldur samkvæmt GDPR-reglugerðinni og framtíðarkröfur gervigreindarreglugerðarinnar þegar hún verður tekin upp. Stofnunin hefur þegar hafið frumgreiningu á álitaefnum um stjórnhætti gervigreindar í útgefnu leiðbeiningarefni sínu.
Atriði sem fyrirtæki þurfa að hafa í huga

Fyrirtæki sem vinna með persónuupplýsingar einstaklinga á Íslandi, eða starfa á Íslandi, ættu að huga að eftirfarandi hagnýtum atriðum varðandi regluvörslu:
Skrár yfir vinnslustarfsemi: Samkvæmt 30. gr. ber ábyrgðaraðilum með 250 starfsmenn eða fleiri, sem og þeim sem vinna viðkvæmar upplýsingar eða vinnsla þeirra felur í sér verulega áhættu, að halda skriflegar skrár yfir vinnslustarfsemi. Þessar skrár skulu gerðar aðgengilegar Persónuvernd sé þess óskað.
Persónuverndarupplýsingar: 13. og 14. gr. GDPR-reglugerðarinnar krefjast ítarlegra gagnsæisupplýsinga við söfnun gagna (13. gr.) eða innan hæfilegs frests þegar gögnum er safnað óbeint (14. gr.). Í upplýsingunum skal greina frá lagagrundvelli, tilgangi, varðveislutíma, flutningi til annarra landa og réttindum hins skráða. Upplýsingar sem beint er að íslenskum neytendum ættu að vera aðgengilegar á íslensku.
Mat á áhrifum á persónuvernd: Samkvæmt 35. gr. er skylt að gera mat á áhrifum á persónuvernd vegna vinnslu sem líklegt er að hafi í för með sér mikla áhættu fyrir einstaklinga. Persónuvernd heldur úti skrá yfir vinnslutegundir sem krefjast slíks mats. Meðal áhættusamra vinnslutegunda eru umfangsmikil vinnsla heilsufars- eða erfðaupplýsinga, kerfisbundin vöktun á svæðum sem almenningur hefur aðgang að, og vinnsla með nýrri tækni þar sem áhætta er óviss.
Áskoranir við nafnleynd í fámennu landi: Þar sem íbúafjöldi Íslands er um 380.000 getur samsetning lýðfræðilegra þátta á borð við aldur, kyn, póstnúmer og starf auðveldlega leitt til þess að hægt sé að bera kennsl á einstaklinga í fámennum byggðarlögum. Fyrirtæki ættu að beita strangari viðmiðum um nafnleynd en á stærri mörkuðum og skjalfesta vandlega mat sitt á nafnleynd.
Tungumál: Persónuvernd gefur út leiðbeiningar bæði á íslensku og ensku. Persónuverndarupplýsingar sem beint er að íslenskumælandi neytendum ættu að vera aðgengilegar á íslensku.
Tengd löggjöf og tengd efni
Persónuverndarréttur Íslands tengist nokkrum öðrum réttarsviðum sem skipta máli fyrir fyrirtæki sem starfa í landinu:
Lög nr. 55/2009 um sjúkraskrár: Gilda um gerð, efni, varðveislu og aðgang að sjúkraskrám. Samkvæmt 2. mgr. 20. gr. þarf heimild ráðuneytis og öryggisálit Persónuverndar áður en sjúkraskrárkerfi eru samtengd eða deilt með fleiri aðilum. Sektin sem Heilsugæsla höfuðborgarsvæðisins hlaut árið 2025 var vegna brots gegn þessu tiltekna ákvæði.
Lög nr. 110/2000 um lífsýnasöfn: Gilda um söfnun, skráningu, varðveislu og notkun lífsýna og erfðaupplýsinga vegna rannsókna og heilbrigðisþjónustu.
Upplýsingalög nr. 140/2012: Gilda um aðgang almennings að upplýsingum stjórnvalda. Opinberir ábyrgðaraðilar þurfa að vega þessi lög á móti persónuverndarskyldum sínum þegar þeir svara beiðnum um aðgang að upplýsingum.
Lög nr. 77/2019 um netöryggi: Innleiða NIS-tilskipunina (2016/1148) í íslenskan rétt og leggja skyldu um tilkynningu atvika á rekstraraðila mikilvægrar þjónustu og stafrænar þjónustuveitendur.
Fjarskiptalög nr. 70/2022: Gilda um fjarskiptaþjónustu, þar á meðal samþykki fyrir vefkökum, vinnslu staðsetningarupplýsinga og bann við hlerun á efni fjarskipta.
Um íslensk lög um upptökur, sjá Lög um upptökur á Íslandi.
Þessi grein veitir almennar lögfræðilegar upplýsingar um persónuverndarlöggjöf Íslands eins og hún var í maí 2026. Hún telst ekki lögfræðiráðgjöf. Persónuverndarlöggjöf Íslands getur breyst og leiðbeiningar Persónuverndar þróast með reynslu af framkvæmd eftirlits. Fyrirtæki og einstaklingar ættu að leita ráðgjafar hjá lögmanni með þekkingu á íslenskum rétti vegna sinna sértæku aðstæðna.
Frequently Asked Questions
Gildir GDPR á Íslandi?
Já. Ísland innleiðir GDPR-reglugerðina í gegnum EES-samninginn. Sameiginlega EES-nefndin tók reglugerðina upp í EES-samninginn með ákvörðun nr. 154/2018, sem samþykkt var 6. júlí 2018, og reglugerðin tók gildi á Íslandi 20. júlí 2018. Lög nr. 90/2018 innleiddu GDPR-reglugerðina samtímis í landsrétt. Reglugerðin gildir á Íslandi með sama efnislega hætti og í aðildarríkjum ESB.
Hvað er Persónuvernd og hvaða valdheimildir hefur hún?
Persónuvernd er sjálfstætt eftirlitsstjórnvald Íslands í persónuverndarmálum, stofnað með lögum nr. 90/2018. Stofnunin rannsakar kvartanir, framkvæmir úttektir, gefur út bindandi fyrirmæli og leggur á stjórnvaldssektir sem geta numið allt að 2,4 milljörðum króna eða 4% af árlegri heildarveltu á heimsvísu fyrir alvarleg brot. Hún getur einnig lagt á dagsektir til að knýja fram fylgni við fyrirmæli sín og vísað alvarlegum málum til refsimeðferðar, þar sem allt að þriggja ára fangelsi getur legið við.
Hvaða sektir getur persónuverndarstjórnvald Íslands lagt á?
Fyrir alvarleg brot á grunnreglum GDPR-reglugerðarinnar, réttindum hins skráða og takmörkunum á flutningi gagna (5. mgr. 83. gr.) getur Persónuvernd lagt á sektir frá 100.000 krónum upp í 2,4 milljarða króna, eða 4% af árlegri heildarveltu á heimsvísu, hvort sem hærra reynist. Fyrir minni háttar brot á skyldum ábyrgðaraðila og vinnsluaðila (4. mgr. 83. gr.) eru sektir á bilinu 100.000 krónur upp í 1,2 milljarða króna, eða 2% af veltu. Einnig má leggja á dagsektir allt að 200.000 krónum fyrir að fylgja ekki fyrirmælum stofnunarinnar.
Geta persónuupplýsingar streymt frjálst milli Íslands og ESB-ríkja?
Já. Sem aðili að EES tilheyrir Ísland svæði frjáls flæðis persónuupplýsinga innan ESB og EES. Persónuupplýsingar má flytja milli Íslands og allra 27 aðildarríkja ESB, sem og milli Íslands og Noregs og Liechtenstein, án nokkurra sérstakra flutningsúrræða samkvæmt V. kafla GDPR-reglugerðarinnar. Flutningur til landa utan EES krefst ákvörðunar um fullnægjandi vernd, staðlaðra samningsákvæða, bindandi fyrirtækjareglna eða undanþágu samkvæmt 49. gr.
Hvenær þarf að tilkynna öryggisbrest til Persónuverndar?
Ábyrgðaraðilum ber að tilkynna Persónuvernd um öryggisbrest við meðferð persónuupplýsinga án ótilhlýðilegrar tafar og, ef unnt er, eigi síðar en 72 klukkustundum eftir að þeir verða brestsins varir. Tilkynningarskylda á aðeins ekki við ef ólíklegt er að brestsins fylgi áhætta fyrir réttindi og frelsi einstaklinga. Dragist tilkynning fram yfir 72 klukkustundir ber ábyrgðaraðila að skýra ástæður þess. Öryggisbresti sem fela í sér mikla áhættu ber einnig að tilkynna beint til þeirra sem verða fyrir áhrifum.
Hver er stafrænn samþykkisaldur á Íslandi?
Ísland ákvað að stafrænn samþykkisaldur skyldi vera 13 ár, sem er lægsta aldursmark sem 8. gr. GDPR-reglugerðarinnar heimilar. Samkvæmt 5. mgr. 10. gr. laga nr. 90/2018 geta börn 13 ára og eldri veitt gilt samþykki fyrir þjónustu upplýsingasamfélagsins. Fyrir börn yngri en 13 ára þarf foreldri eða forsjáraðili að veita eða heimila samþykkið.
Þarf Ísland að fara eftir gervigreindarreglugerð ESB?
Ekki enn, samkvæmt stöðunni um mitt ár 2026. Gervigreindarreglugerð ESB tók gildi 1. ágúst 2024 fyrir aðildarríki ESB, en hún hefur ekki verið tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar. Ísland, Noregur og Liechtenstein eiga áheyrnaraðild að fundum gervigreindarráðs ESB. Þar til formleg ákvörðun sameiginlegu EES-nefndarinnar hefur verið samþykkt gildir gervigreindarreglugerðin ekki sem bindandi landsréttur á Íslandi. Íslensk fyrirtæki sem beita gervigreindarkerfum á markaði innan ESB falla þó áfram undir reglugerðina vegna þeirrar starfsemi sem tengist ESB.
Hver þarf að skipa persónuverndarfulltrúa á Íslandi?
Samkvæmt lögum nr. 90/2018 er skylt að skipa persónuverndarfulltrúa fyrir: (1) öll stjórnvöld og opinbera aðila, (2) ábyrgðaraðila og vinnsluaðila þar sem meginstarfsemin krefst reglulegrar og kerfisbundinnar vöktunar á hinum skráðu í umfangsmiklum mæli, og (3) ábyrgðaraðila og vinnsluaðila þar sem meginstarfsemin felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga eða upplýsinga um sakfellingar. Ísland útvíkkaði ekki skylduna um persónuverndarfulltrúa umfram þessa flokka 37. gr. GDPR-reglugerðarinnar.
Sources and References
- GDPR-reglugerðin tekin upp í EES-samninginn, EFTA(efta.int).gov
- Gildissvið persónuverndarlaga, Ísland.is(island.is).gov
- Sekt íslenska eftirlitsstjórnvaldsins, Heilsugæsla höfuðborgarsvæðisins 2025, EDPB(edpb.europa.eu).gov
- Reykjavíkurborg sektuð vegna Google Workspace for Education, EDPB(edpb.europa.eu).gov
- Reykjavíkurborg sektuð vegna Seesaw kennslukerfisins, EDPB(edpb.europa.eu).gov
- Norrænt samstarf persónuverndarstofnana 2024, Datatilsynet(datatilsynet.no).gov
- Persónuverndarlöggjöf Íslands, DLA Piper(dlapiperdataprotection.com)
- Helstu gagna- og netöryggislög Íslands, Baker McKenzie(resourcehub.bakermckenzie.com)
- Lög nr. 90/2018 um persónuvernd, WIPO Lex(wipo.int).gov
- Kópavogsbær sektaður vegna Google Workspace for Education 2024, EDPB(edpb.europa.eu)
- Leiðarvísir um innleiðingu GDPR á Íslandi, White and Case(whitecase.com)
- Tilkynning öryggisbresta á Íslandi, DLA Piper Data Protection Laws of the World(dlapiperdataprotection.com)